범퍼카 토토 내장 뷰 pg_stats_ext 및 pg_stats_ext_exprs에 권한이 누락되어 권한이 없는 데이터베이스 사용자가 가장 일반적인 값과 기타 통계를 읽을 수 있습니다.통계 생성다른 사용자의 명령. 가장 일반적인 값은 도청자가 읽을 수 없는 열 값이나 실행할 수 없는 기능의 결과를 나타낼 수 있습니다. 영향을 받지 않는 버전을 설치하면 새로운 범퍼카 토토 설치, 즉 해당 버전을 설치한 후 initdb 유틸리티를 사용하여 생성된 설치만 수정됩니다. 현재 범퍼카 토토 설치는 아래 섹션에서 편의를 위해 제공되는 릴리스 노트의 지침을 따를 때까지 취약한 상태로 유지됩니다. 메이저 버전 14-16 내에서는 범퍼카 토토 16.3, 15.7 및 14.12 이전의 마이너 버전이 영향을 받습니다. 범퍼카 토토 14 이전 버전은 영향을 받지 않습니다.
이 수정은 새로운 범퍼카 토토 설치, 즉 다음 설치만을 수정합니다.
로 생성됨initdb이 수정사항이 적용된 후의 유틸리티입니다. 현재 범퍼카 토토이 설치되어 있는 경우
이 문제가 우려되는 경우 다음 해결 단계를 사용하여
문제를 해결하세요:
SQL 스크립트 찾기fix-CVE-2024-4317.sql에서공유디렉토리
범퍼카 토토 설치(예: in/usr/share/범퍼카 토토/) 또는 다운로드
아래 URL 중 하나를 통해 PostgreSQL git 저장소에서 가져옵니다. 당신은해야합니다
주요 버전과 일치하는 스크립트를 사용하십시오.
포스트그레SQL 16: https://git.postgresql.org/gitweb/?p=postgresql.git;a=blob;f=src/backend/catalog/fix-CVE-2024-4317.sql;hb=refs/heads/REL_16_STABLE
위 URL에서 "raw"라고 표시된 URL을 클릭하여 버전을 다운로드할 수 있습니다 복사하여 붙여넣을 수 있습니다.
귀하의 범퍼카 토토 주요 버전에 적합한 스크립트를 사용하십시오. 당신이 이 파일을 볼 수 없습니다. 귀하의 버전이 취약하지 않거나(범퍼카 토토 14만 해당) 15 및 16이 영향을 받거나 부 버전이 너무 오래되어 수정 사항을 적용할 수 없습니다.
fix-CVE-2024-4317.sql스크립트
데이터베이스 슈퍼유저. 예를 들어,psql,
파일이 있는 곳은/usr/share/범퍼카 토토/, 이 명령은 다음과 같습니다:\i /usr/share/범퍼카 토토/fix-CVE-2024-4317.sql
템플릿0그리고템플릿1데이터베이스, 그렇지 않으면 나중에 생성하는 데이터베이스에 취약점이 여전히 존재하게 됩니다.
고치려면템플릿0, 일시적으로 연결 허용을 허용해야 합니다. 당신
다음 명령을 사용하여 이 작업을 수행할 수 있습니다.ALTER DATABASE template0 WITH ALLOW_CONNECTIONS true;
실행 후fix-CVE-2024-4317.sql스크립트 입력템플릿0그리고템플릿1, 다음 능력을 취소해야 합니다.템플릿0수락하다
연결. 다음 명령을 사용하여 이 작업을 수행할 수 있습니다.
ALTER DATABASE template0 WITH ALLOW_CONNECTIONS false;
범퍼카 토토 프로젝트는 이 문제를 보고한 Lukas Fittl에게 감사드립니다.
| 영향을 받는 버전 | 고정됨 | 수정 게시됨 |
|---|---|---|
| 16 | 16.3 | 범퍼카 토토 : 범퍼카 |
| 15 | 15.7 | 범퍼카 토토 : 범퍼카 |
| 14 | 14.12 | 범퍼카 토토 : 범퍼카 |
에 대한 추가 정보는PostgreSQL :, 다음을 방문하세요.PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 3.1 |
|---|---|
| 구성요소 | 코어 서버 |
| 벡터 | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N |
PostgreSQL의 새로운 보안 취약점을 보고하려면 다음을 수행하십시오. 이메일을 보내주세요security@범퍼카 토토.org.
비보안 버그를 신고하려면 다음을 참조하세요.503 토토 베이 페치 실패페이지.